News

Buscando fallas en las campañas de Zeus

¿Te parece conocida esta campaña maliciosa?

Sí, es Zeus (Zbot). Si tu sistema está parchado y pulsas en el enlace no aparecerá el binario; un script PHP especial en sddghdskfgjr.cz.cc no lo ejecutará y sólo aparecerá un mensaje de error. Es un filtro estándar que los criminales utilizan para malware anti-automático.
El dominio .cc que menciona se acorta dos veces con dos diferentes servicios para acortar enlaces. El primero es http://3cm.kz/. A pesar de la información oficial de los servicios (que es legítima) tiene un eslogan muy raro que se parece mucho a la jerga de cibercriminales que hablan ruso: “Acorta tu bestia”.

Encontré una “falla” interesante en el script .php malicioso en el dominio .cc. Si ingresas al enlace corto con cualquiera de los caracteres especiales al final y, aunque sea el mismo sistema totalmente parchado, el binario aparecerá una y otra vez. Por ejemplo, en vez de pulsar en http://3cm.kz/example, puedes incluir un carácter especial al final del enlace, así: http://3cm.kz/example+ o http://3cm.kz/example* y aparecerá el binario. Un carácter especial por cada nueva descarga. El segundo servicio para acortar URLs que utilizan los criminales es http://shortn.me
Si ves las estadísticas de cuántos usuarios han pulsado en él, verás que hay una gran diferencia entre el primer y el segundo enlace corto:

(Número de veces que se pulsó en 3cm – sólo 24)

=

(Número de veces que se pulsó en Shortnme – 200)

No son muchos clicks, pero recordemos que es un ataque dirigido y que el impacto es bastante grande. Lo importante aquí es la calidad, no la cantidad.

Por otro lado, la diferencia entre los clicks demuestra que los criminales emplean el enlace Shortnme para atacar a muchos usuarios, pero el enlace corto de 3Cm está diseñado especialmente para cada blanco específico (empresa). De esta manera, los cibercriminales pueden rastrear infecciones que pueden ser mejores desde cada usuario afectado.
La tecnología UDS (tecnología en la nube) de Kaspersky detectaba el ejemplar malicioso al momento de la descarga, y ahora se encuentra en nuestra base de datos como Trojan-Spy.Win32.Zbot.bvmv.

Buscando fallas en las campañas de Zeus

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada